SSL/TLS脆弱性「FREAK」--管理者とユーザーの当面の対策は - (page 2)

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2015年03月11日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 まず、Windows Server 2003やWindows XPを使っている場合は問題がある。XPでは、特別な契約を結んでない限り、もうサポートを受けられず、Windows Server 2003のサポートも7月に終了する。新しいバージョンのWindowsに乗り換えるべき時期はとっくに過ぎている。早く移行に取りかかろう。

 次に、(上述のWindows Server 2003や)Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、Windows RT 8.1、Server Coreインストール オプションを使っている人は、Microsoftが米国時間3月10日、Schannelの脆弱性を修正するパッチを公開している。影響を受けるソフトウェアを利用している場合はこの更新プログラムを適用しよう。

 LinuxサーバやBSDサーバについては、最新バージョンのOpenSSLLibReSSLに即刻アップデートすべきだ。

 それが終わったら、「Server Side TLS」のセットアップ方法に関するMozillaのガイドに従うようお勧めする。特に、推奨構成「Intermediate」を採用すべきだ。「Modern」構成を採用した場合、皆さんのウェブサイトにWindows XPや「Android 2.3」でアクセスしようとするユーザーが、安全に接続できなくなる。

 Mozillaはウェブサイト管理者に対し、オープンソースの「Nginx」ウェブサーバを使うよう推奨している。Mozillaはその理由を次のように書いている。「Nginxは現時点で最高のTLSサポートを提供する。『OCSP Stapling』、カスタムDHパラメータ、OpenSSLのすべてのTLSバージョンを提供する唯一のデーモンである」。筆者もMozillaの推奨事項に賛成だ。

 Apache、Nginx、「HAProxy」をセットアップして、FREAKに適切に対処する最も簡単な方法は、「Mozilla SSL Configuration Generator」を使うことだ。このウェブプログラムは、ウェブサーバの設定ファイルに必要なコードを生成する。ぜひともお勧めしたい。

 サーバのセットアップが完了したら、使用しているOSやウェブサーバの種類に関係なく、Qualys SSL Labsの「SSL Server Test」ツールで設定をチェックしよう。このプログラムは、SSLに関連するさまざまな問題を調べてくれる。

 今注意すべきは、FREAK攻撃を受ける可能性だ。使っているウェブサーバで脆弱な暗号スイートがまだサポートされている場合は、やるべきことは他にもある。サーバが「TLS_FALLBACK_SCSV」をサポートしているなら、これもFREAK攻撃から守ってくれるだろう。

 エンドユーザーにとって、現在のところ安全を確保する最も簡単な方法は、ChromeかFirefoxの最新バージョンを使ってウェブブラウジングをすることだ。近日中にすべてのブラウザに修正がリリースされる見通しだが、IDやパスワードが盗まれるリスクを冒す必要はない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]